工業(yè)控制系統(tǒng)深度防御策略

一、引言

隨工業(yè)控制系統(tǒng)（IndustryControlSystem，ICS）面臨遠(yuǎn)程維護(hù)、非法操作、惡意軟件入侵、非法訪問、與互聯(lián)網(wǎng)聯(lián)接等帶來的潛在威脅，網(wǎng)絡(luò)邊界、訪問控制、通信保護(hù)、惡意操作控制、惡意程序防護(hù)等方面存在一定的脆弱性，因此單一的防護(hù)措施已不再有效。ICS作為工業(yè)基礎(chǔ)設(shè)施核心，關(guān)系到我國經(jīng)濟(jì)發(fā)展及國家安全。相關(guān)部門應(yīng)基于深度防御理念，采取多重安全措施搭建安全的ICS，不斷滿足技術(shù)發(fā)展和商業(yè)發(fā)展的需要。

二、安全策略部署

全面翔實(shí)、科學(xué)合理的安全策略部署，對于深度防御策略的實(shí)施至關(guān)重要。安全策略需要進(jìn)行年度修訂和評估，以便更好地實(shí)現(xiàn)時(shí)效性和實(shí)用性。

（一）安全策略制定

為提高有效性，安全策略必須具有一定的可操作性，不能嚴(yán)重影響生產(chǎn)且占據(jù)過高成本，同時(shí)還需獲得高層領(lǐng)導(dǎo)的必要支持。所以，安全策略的制定需要高層行政負(fù)責(zé)人和系統(tǒng)管理員的共同參與。網(wǎng)絡(luò)和ICS管理員掌握技術(shù)知識，但在執(zhí)行安全策略時(shí)仍需管理層的認(rèn)證和授權(quán)。管理層也必須支持適當(dāng)?shù)娜肆�資源部署和使用，以保證ICS安全。同時(shí)，可以借鑒許多傳統(tǒng)IT安全策略，并與ICS的特定需求進(jìn)行融合。

（二）安全風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估是理解與定義威脅、漏洞，并為其制定安全措施的基礎(chǔ)。實(shí)施深度防御策略首先應(yīng)進(jìn)行全方位的安全風(fēng)險(xiǎn)評估，查找并挖掘自身面臨的風(fēng)險(xiǎn)和漏洞。

（三）組建安全團(tuán)隊(duì)

組建一支跨職能的安全團(tuán)隊(duì)，并由高層管理者具體負(fù)責(zé)。安全團(tuán)隊(duì)?wèi)?yīng)包括全程參與ICS的工程師和管理員，團(tuán)隊(duì)成員需接受相關(guān)安全培訓(xùn)，并掌握在當(dāng)前ICS架構(gòu)下所面臨的安全挑戰(zhàn)和風(fēng)險(xiǎn)。安全團(tuán)隊(duì)的主要職責(zé)是，制定安全策略和安全流程，以提高安全能力，并有效保護(hù)ICS。

（四）操作安全計(jì)劃

為防止安全策略對ICS的可用性造成負(fù)面影響，應(yīng)考慮ICS的全部操作性要求。以滿足操作性要求為前提，建立操作安全計(jì)劃（OperationalSecurityProgram），其中包括角色與職責(zé)、物理安全、訪問控制、區(qū)域防御等。

在實(shí)施深度防御技術(shù)前，應(yīng)首先制定技術(shù)評估計(jì)劃、安全采購計(jì)劃及貫穿系統(tǒng)生命周期的安全實(shí)施計(jì)劃。深度防御技術(shù)被看作是ICS安全構(gòu)架的一部分，應(yīng)標(biāo)記系統(tǒng)聯(lián)接及具備不同安全能力的關(guān)鍵區(qū)域。

（五）安全培訓(xùn)

安全培訓(xùn)是宣傳安全意識重要性的重要環(huán)節(jié)。在制定安全培訓(xùn)時(shí)，應(yīng)考慮目的和范圍；資源配置；實(shí)施計(jì)劃；監(jiān)控和反饋；效力評估等因素。

所有員工應(yīng)接受包括執(zhí)行層、操作層和技術(shù)層在內(nèi)的安全培訓(xùn)，并針對不同崗位接受不同的培訓(xùn)內(nèi)容，例如，網(wǎng)絡(luò)安全管理員需接受涉及網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的最前沿動態(tài)，如構(gòu)架設(shè)計(jì)、防火墻和入侵檢測系統(tǒng)配置等培訓(xùn)。

（六）事件響應(yīng)

在ICS中發(fā)生突發(fā)事件時(shí)，需及時(shí)采取識別、響應(yīng)、消除影響、記錄等系列措施。制定詳細(xì)的事件響應(yīng)流程文件，提高事件響應(yīng)能力，指導(dǎo)員工采取響應(yīng)措施。事件響應(yīng)過程中應(yīng)解決的問題包括：

事件發(fā)生或正在發(fā)生的標(biāo)志；應(yīng)采取的應(yīng)急措施；通知相關(guān)人員的次序；保存收集證據(jù)的方法；保管受影響計(jì)算機(jī)的方法。

ICS取證計(jì)劃作為事件響應(yīng)的一部分，應(yīng)充分考慮事件的發(fā)起者、受害者、發(fā)生地、發(fā)生時(shí)間，并收集足夠的可用證據(jù)。為此，美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）制定了計(jì)算機(jī)安全事件管理指南SP800-61，為安全工作人員提供事件處理過程的相關(guān)指導(dǎo)。

三、深度防御措施

（一）劃分區(qū)域

為建立分層防御，需掌握系統(tǒng)聯(lián)接處位置，通過建立明確的界限，將ICS架構(gòu)劃分為獨(dú)立區(qū)域進(jìn)行管理。其中，可通過以下方法對ICS進(jìn)行區(qū)域劃分：防火墻；有訪問控制列表的路由器；配置過的交換機(jī)；靜態(tài)路由和路由表；專用通信媒體�；�于普渡控制層次模型（PurdueModelforControlHierarchy）將控制系統(tǒng)分為以下5個(gè)區(qū)域。

1.外部區(qū)域（externalzone）：可聯(lián)接互聯(lián)網(wǎng)、備份或遠(yuǎn)程廠區(qū)的區(qū)域。該區(qū)域不是隔離區(qū)（DMZ），但與之聯(lián)接的設(shè)備往往不被信任。此區(qū)域的優(yōu)先級最低、風(fēng)險(xiǎn)最高。

2.工作區(qū)域（corporatezone）：為組織通信區(qū)域，郵件服務(wù)器、域名系統(tǒng)服務(wù)器和IT商業(yè)系統(tǒng)構(gòu)架組件均在此區(qū)域內(nèi)。該區(qū)域同外部區(qū)域聯(lián)接，因此存在潛在安全風(fēng)險(xiǎn)。由于安全態(tài)勢具有一定的成熟度及系統(tǒng)的冗余性，工作區(qū)域的優(yōu)先級要高于外部區(qū)域，同時(shí)低于其他區(qū)域。

3.制造/數(shù)據(jù)區(qū)域（manufacturingzone）：即監(jiān)控區(qū)域，是保障組織業(yè)務(wù)連續(xù)性、管理控制網(wǎng)絡(luò)的重要區(qū)域，操作性設(shè)備和管理設(shè)備均部署在該區(qū)域內(nèi)。風(fēng)險(xiǎn)點(diǎn)存在于外部區(qū)域和工作區(qū)域的聯(lián)接處，該區(qū)域的優(yōu)先級較高。

4.控制區(qū)域（control/cellzone）：聯(lián)接可編程邏輯控制器、人機(jī)接口和基本輸入輸出設(shè)備的區(qū)域。該區(qū)域內(nèi)的設(shè)備功能可直接影響終端設(shè)備，因此該區(qū)域的優(yōu)先級較高。

5.安全區(qū)域（safetyzone）：由于該區(qū)域中設(shè)備可自動控制終端設(shè)備的安全級別，因此該區(qū)域擁有最高優(yōu)先級，且風(fēng)險(xiǎn)較低。

（二）部署防火墻

防火墻為不同網(wǎng)絡(luò)區(qū)域間的通信提供了健壯、復(fù)雜的規(guī)則，扮演了保護(hù)網(wǎng)絡(luò)的角色，以防止攻擊者從網(wǎng)絡(luò)中獲取所需信息或向網(wǎng)絡(luò)中發(fā)送文件和命令等。不同的防火墻可部署在OSI模型的不同層中，需根據(jù)控制系統(tǒng)的應(yīng)用和聯(lián)接情況及網(wǎng)絡(luò)的不同層進(jìn)行選擇。

1.包過濾防火墻：該類防火墻位于網(wǎng)絡(luò)層，根據(jù)既定規(guī)則，分析流入和流出各獨(dú)立網(wǎng)絡(luò)的數(shù)據(jù)包，其中包過濾規(guī)則通常與端口數(shù)、協(xié)議和其他指定數(shù)據(jù)相關(guān)。包過濾防火墻適用于需要快速聯(lián)接的系統(tǒng)，并根據(jù)設(shè)備的地址來制定規(guī)則，有助于ICS對特殊應(yīng)用和協(xié)議開展安全防護(hù)。

2.代理防火墻：該類防火墻分布在應(yīng)用層，適用于分析應(yīng)用程序的內(nèi)部數(shù)據(jù)和收集用戶的活動信息。在ICS中，代理防火墻可將商業(yè)局域網(wǎng)和控制局域網(wǎng)進(jìn)行隔離，并為需要特殊應(yīng)用防護(hù)的DMZ和其他資產(chǎn)提供保護(hù)。

3.主機(jī)防火墻：該類防火墻是保護(hù)設(shè)備端口和服務(wù)的軟件，可建立跟蹤、允許或拒絕數(shù)據(jù)流的規(guī)則。由于工作站、筆記本等其他設(shè)備可能會進(jìn)出ICS，因此將這些移動設(shè)備集成主機(jī)防火墻，可為ICS增加額外的安全保護(hù)。

對于ICS來說，對防火墻進(jìn)行全面、合理、精確的配置十分重要，以此來保障所有的通信都被限制在系統(tǒng)功能允許的范圍內(nèi)，且所有與特殊區(qū)域聯(lián)接的通信線路都經(jīng)過詳細(xì)的安全風(fēng)險(xiǎn)評估。ICS中的信息交互需被實(shí)時(shí)監(jiān)控，考慮流經(jīng)防火墻的雙向數(shù)據(jù)，配置并管理出入網(wǎng)絡(luò)信息的規(guī)則，以保障通信過程安全。

（三）入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IntrusionDetectionSystems，IDS）不是單一的產(chǎn)品或技術(shù)，而是工具和過程的復(fù)雜集合，可監(jiān)控網(wǎng)絡(luò)中異常或未授權(quán)活動。

IDS通常部署在網(wǎng)絡(luò)架構(gòu)各出入點(diǎn)，或重要資源所在的網(wǎng)絡(luò)聯(lián)接點(diǎn)。IDS將收集信息狀態(tài)與既定規(guī)則、歷史行為或攻擊特征進(jìn)行對比，以便判斷是否存在非法活動，檢測特征包括端口數(shù)、通信負(fù)載等。對比結(jié)果的偏差如超出閾值，系統(tǒng)將采取系列警報(bào)性措施，以加快事件響應(yīng)和資源管理。

IDS進(jìn)行日志分析的策略配置非常重要。如果攻擊者在日志審核前訪問系統(tǒng)并發(fā)起攻擊，IDS再檢測攻擊行為就失去了防護(hù)意義。

四、結(jié)語

ICS作為國家基礎(chǔ)設(shè)施的核心控制設(shè)備，其安全關(guān)系著國計(jì)民生。本文提出針對ICS采用深度防御策略，一方面需根據(jù)ICS構(gòu)架建立主動安全模型，方便根據(jù)架構(gòu)中的安全態(tài)勢，采取相應(yīng)安全措施，進(jìn)行有效的風(fēng)險(xiǎn)評估，并及時(shí)處理安全事故；另一方面應(yīng)為ICS制定合適的安全策略，并定期回顧安全態(tài)勢，綜合考慮當(dāng)前威脅、系統(tǒng)功能和所需安全級別；同時(shí)采用設(shè)置訪問控制列表、惡意行為監(jiān)測、日志監(jiān)測、修復(fù)核心問題等措施，提高ICS的安全等級。

 

（原載于《保密科學(xué)技術(shù)》雜志2017年8月刊）